金诺网安KIDS网络安全系统应用案例

　　入侵检测系统是一种应用比较高级、投资相对比较大的网络安全产品，用户如何正确地选用它们，这对企业的网络安全和企业的投资效益都有很大的影响。我们结合以下某一集团公司的实际网络应用状况来说明这一问题，方 案中主要采用金诺网安reg；入侵检测系统（KIDS）产品。

　　网络状况上海某一集团公司的网络构架如图一。公司的总部在上海，并在香港和其它地区设有分支机构，属于制造型企业。总部的计算机网络中心内具有公司最重要的设备和信息数据，其中最主要的应用为整个集团的ERP系统。各分支机构与集团总部采用租用专线来连接，形成企业自己的专网，网络中心同时还通过128K的DDN专线与Internet相连，内部员工可以对外进行浏览访问和使用自己的Mail系统，外界的人员也随时能访问该集团的Web网站，网络中基本采用了windows系统。公司领导层对信息数据的保密性和安全性一直都比较重视，所以早在1999年的时候已经在网络中部署了两台防火墙，另外也采用了一些系统本身能实现的认证、加密等简单技术方法来提高网络的安全性。虽然公司对安全风险有所防范，但是实际情况还是不尽人意，网络曾在一段时间内依然遭受了几次不小的破坏和干扰，而且系统管理人员也未找到真正的事发原因。

　　安全需求分析应客户的要求，我们对该集团公司的网络作了一些检测和分析（检测报告略）。仅从网络结构来看，似乎该网络还算比较安全，具有双重防火墙保护内部网，但在做完检测和分析后，我们发现该客户网络的安全的确还有很多不足之处。

　　检测中我们发现该集团公司的防火墙配置都比较简单、过于宽松，没有用到的135至142端口正处于开放状态，IP地址与MAC地址之间也没有被作绑定；文件共享设置十分混乱，有几台服务器的C盘（含有系统文件）都能被内网上的用户随意进行访问，IIS　　Web　server　未被作最新的软件补丁等等。以上问题足以使内部或外部的人员发生误操作或进行恶意攻击（如基于IPC的远程控制、IP地址盗用或基于Web的Unicode攻击和。printer攻击等）。事实上，有了防火墙以后并不代表系统管理员就可以高枕无忧了，防火墙是一种静态的安全防护设备，它只是按照定义好的安全策略对网络的数据流进行过滤和访问控制，而且，防火墙的设置不能影响用户正常的应用服务，所以要被允许开放一定的端口或服务；防火墙对很多不断更新、更加高级的入侵攻击方法无能为力，难以适应瞬息万变的各种安全威胁；它们不能自动调整相应的配置、不能发现绕过防火墙的攻击、也不能排除来自内部的安全隐患。防火墙虽然在一定程度上解决了来自外部的安全问题，可它们的能力是有限的。

　　能弥补静态防护技术的不足，采用动态检测、实时记录、及时报警和主动防御的动态防护技术——金诺网安reg；入侵检测系统（KIDS）是对该企业网络的最好补充。金诺网安reg；入侵检测系统KIDS是综合的入侵检测系统，它将主机入侵检测和网络入侵检测相结合，分别从计算机和网络的各个关键点收集违反安全策略的行为或被攻击的迹象，并且可以根据用户的需要实时报警和响应；可以防止来自外网的黑客入侵，也可以制止来自内网的恶意行为、误操作或资源滥用。金诺网安reg；入侵检测系统，可以为该企业提供另外一种深层次的高级防护措施，能极大地提高信息安全基础结构的完整性。

　　另外，我们发现企业在了解自身网络实际安全状况上明显不足：某些应用系统有很多Bug，某些设备（包括防火墙等）配置也比较粗糙，企业也很需要专门的漏洞检测和安全评估工具。

　　系统设计原则

　　对于该集团公司网络系统安全方案的设计，我们遵循以下几点原则：

　　1、静态防护和动态防护的互补本方案主要从入侵检测系统考虑，采用KIDS动态智能的防护体系来弥补防火墙等静态防护技术的不足，实现静态安全技术和动态安全技术的互补和统一，同时保证网络边界、网络内部重要网段和各关键主机的安全性，以尽量形成完整的安全解决方案。

　　2、适合相应安全等级的需要结合企业网络的应用情况，在满足安全性的基础上，综合考虑系统的性价比，根据各应用服务关键点对安全等级要求的不同，恰当地选择KIDS网络传感器和主机传感器的数量，确定最优方案。

　　3、实现集中和统一的管理所采取的安全措施要易于网络管理人员的操作与掌握，尽量实现管理的集中性和统一性，在部署和配置KIDS控制端口时，要实现KIDS控制台的集中管理（包括对主机传感器和网络传感器的统一配置和软件的在线升级）。

　　4、可适应性和可扩充性所选择的产品或系统模块应能随着网络性能及业务需求的变化而变化，具有良好的可扩充性，要能满足用户对该产品的不断调整和补充的需求。

　　5、符合有关标准符合国际有关通信协议和接口标准；符合国家有关信息系统安全保密标准。

　　解决方案

　　金诺网安reg；入侵检测系统是由网络传感器（NIDS）、主机传感器（HIDS）和管理控制台（Console）组成的分布式系统。网络传感器从网络数据包发现入侵的痕迹，主机传感器对主机系统的系统活动事件、日志信息进行分析，发现可疑行为。管理控制台对所有的传感器进行统一的集中式管理和监控。系统管理员可以通过一台管理控制台实施对全网的安全监控和管理。按照客户的实际应用情况，我们作了以下的相应配置，如图二：

　　以防火墙为界线内部网形成2个主要的网段。分别在防火墙后面安装1台基于网络的网络传感器（NIDS），以能监控2个网段上的网络数据流，及时地发现网络上的危险行为。

　　从应用的重要性来看，WWW　服务器、Mail　服务器、DNS服务器、数据库服务器及文件服务器Server-C是最需要被特别保护的，所以分别安装基于主机的主机传感器（HIDS），随时监视本地系统上的系统活动事件。

　　一旦网络上或主机上的传感器探测到危险的事件发生，传感器将立即发出报警，报警信息可以通过发送文字、传真、电子邮件、手机短消息、寻呼等手段通知系统管理员，KIDS将所有的报警信息记到日志中，以备核查。同时传感器还能够针对恶意攻击进行实时响应，响应的手段有：中断TCP会话、伪造ICMP应答、根据黑名单断开、阻塞HTTP请求、模拟SYN/ACK等。

　　另外，在网管中心我们也为用户配备了扫描器，对于一个完整的安全解决方案，漏洞检测与评估系统也是一个重要的组成部分。金诺网安reg；CyberPro扫描器能及时深入地发现网络系统中存在的薄弱环节，为系统管理人员和企业的领导层提供有效的管理和评估的工具。

　　随着企业业务的不断发展变化，企业网络中的各种应用的重要性也会不断改变，这时企业完全可以根据自身的需要，按照主机或网段安全等级的不同要求，相应地调整KIDS的网络传感器和主机传感器的部署位置和功能策略，也可以适当地增加它们的数量，以及时地满足企业业务发展的需要。如果有必要的话，　网络中A处可以增加另外一个NIDS，以监控防火墙a外面的安全状况，B处也可以再增加一道静态的防护。 应用效果

　　系统正常运行后，可主要依靠KIDS控制台完成各项安全监理工作。　在控制台上可以对入侵检测系统的系统数据和系统配置进行管理操作，控制/监视服务器的运行；传感器则实时监视网络上及主机服务器上所发生的相关事件，显示事件的详细信息，并在遇到入侵时实时报警。管理员收到报警后可以进行如下响应：1、了解非法登录的设备信息和服务器连接信息2、了解和推断事件的原因3、依据日志和在线信息调查过去的相关历史情况4、定位非法工作站5、跟踪取证或清除连接

　　当出现关键数据有非法写请求时，系统将清除该请求，并产生报警信息。　管理员可以进行如下响应：1、了解非法请求的操作类型，发出请求的连接，机器名称以及登录的用户名。

　　2、迅速定位非法请求的工作站，查明具体操作原因。

　　3、如果希望捕捉入侵者，管理员可设置服务器的响应模式，让软件只报警而不中断连接。

　　这样，入侵者将不会知道自己的入侵行为已被发觉，有利于管理员迅速捕捉或取证。

　　根据以上案例我们可以看出，金诺网安reg；入侵检测系统（KIDS）可以更加加强企业网络的整体安全性，实现动态、智能的防御功能，有效解决了静态防护措施所不能解决的安全问题；同时，系统的图形操作界面可以实时监控网络连接与登录的全过程、实时处理网络入侵、实时监控对关键数据的修改、实时报告工作站设备的联机状况，大大提高了网络安全管理的易操作性。